Datenschutz in der Praxis
Relevante Themen mit Beispielen und Empfehlungen aus der Praxis
Stand: Februar 2024
Links
Impressumspflicht: FAQ, Anleitungen und Rechtssprechungsübersicht
it-recht-kanzlei.de
Impressums-Generatoren
activeMind.AG
fachanwalt.de
e-recht24.de
Informationspflicht bei Erhebung von personenbezogenen Daten
Art. 13 DSGVO
Datenschutz-Generator
datenschutz-generator.de
e-recht24.de
activeMind.AG
wbs.legal
Newsletter-Software
Cleverreach
Mailup
GetResponse
Brevo
Mailjet
Linktree
wonderlink.de
Messenger & DSGVO
chatwerk.de
datenschutzexperte.de
bfdi.bund.de
Alternative Messenger zu WhatsApp
Threema
teamwire
Signal
Prüfung der Einbindung von Google Fonts
https://sicher3.de
Impressum
Das Impressum von Website, Social Media Profil oder Newsletter hat eigentlich nichts mit Datenschutz zu tun. Trotzdem wird es gerne in den gleichen Dampfkochtopf geworfen. Die rechtliche Grundlage dazu findet sich im Telemediengesetz (TMG), das Unternehmen, die Waren und Dienste im Internet anbieten, eine Anbieterkennzeichnung vorschreibt.
Welche Angaben müssen ins Impressum? Unter anderem:
- Name des/der Inhaber*in,
- vollständige Postanschrift,
- falls Eintragung im Handelsregister die Firmierung,
- bei juristischen Personen Geschäftsführer*in und Vertretungsberechtigte,
- falls vorhanden, Handelsregister und Registernummer,
- E-Mail-Adresse zur Kontaktaufnahme,
- Telefonnummer zur Kontaktaufnahme,
- falls vorhanden, die Umsatzsteuer-Nummer,
und viele Angaben, die speziell auf bestimmte Branchen zutreffen (z.B. Versicherungsmakler*innen, Rechtsanwält*innen, Gesundheitsdienste und so weiter).
Wichtig: Rein formell betrachtet muss ein Impressum mit einem Klick von jeder (Unter-)Seite einer Website aus erreichbar sein. Außerdem muss ein Impressum immer eine einzelne Seite sein. Eine zusammenfassende Darstellung (z.B. Datenschutzhinweise und Impressum auf einer Seite) ist nicht erlaubt.
Infobox
- Telemediengesetz (TMG), https://www.gesetze-im-internet.de
- Impressumspflicht: FAQ, Anleitungen und Rechtssprechungsübersicht, it-recht-kanzlei.de
- Impressums-Generator, activeMind.AG
- Impressums-Generator, fachanwalt.de
- Impressums-Generator, e-recht24.de
Wichtig: Auch der beste Generator kann dir keine 100%ige Sicherheit garantieren, dass alle Informationen in deinem Impressum korrekt sind. Willst du auf Nummer Sicher gehen, solltest du anwaltlichen Rat einholen.
Datenschutzerklärung
Eine rechtssichere Datenschutzerklärung zu erstellen ist nicht unkompliziert. Für einfache Websites ohne besondere Funktionen können entsprechende Generatoren (siehe Infobox) eine gute erste Anlaufstelle sein. Wer Rechtssicherheit möchte, wählt den Gang zum*r Anwält*in oder einem Menschen, der entsprechendes Knowhow aus dem Datenschutz mitbringt.
Die wichtigsten Pflichtangaben lassen sich zusammenfassen. Weitere Hinweise finden sich in der DSGVO, Art. 13. Dort ist relativ ordentlich aufgelistet, welche Angaben in die Datenschutzerklärung gehören:
- Name, Kontaktdaten der/des Verantwortlichen sowie ggfs. der*des Vertreter*in,
- falls bestellt: Kontaktdaten der/des Datenschutzbeauftragten,
- Zwecke, für die personenbezogene Daten verarbeitet werden inkl. zugehöriger Rechtsgrundlagen,
- falls Verarbeitungen auf Basis berechtigten Interesses vorgenommen werden, die berechtigten Interessen, die verfolgt werden,
- ggfs. Empfänger bzw. Kategorien von Empfänger personenbezogener Daten
- ggfs. die Absicht, personenbezogene Daten an ein Drittland (z.B. USA) zu übermitteln inkl. einiger Sonderaspekte für Drittlandtransfers, siehe dazu DSGVO, Art. 13 (1) f),
- Dauer der Speicherung personenbezogener Daten,
- Hinweis auf das Auskunftsrecht,
- Hinweis auf das Recht auf Berichtigung,
- Hinweis auf das Recht auf Löschung,
- Hinweis auf das Recht auf Einschränkung,
- Hinweis auf das Recht auf Widerspruch,
- Hinweis auf das Recht auf Datenübertragbarkeit,
- Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde,
- Hinweis auf gesetzlich oder vertraglich vorgeschriebene Bereitstellung personenbezogener Daten,
- Hinweis, ob eine automatisierte Entscheidungsfindung stattfindet (inkl. Profiling)
Unter (3) findet sich außerdem die Information, dass Betroffenen – sollten Verantwortliche beabsichtigen, Daten für einen anderen Zweck zu verarbeiten, als sie erhoben wurden – vor dieser Weiterverarbeitung alle maßgeblichen Informationen bereitstellen müssen.
Angesichts Datenschutzerklärungen, die schnell einige DIN A4 Seiten füllen, ist es kein Wunder, dass gern ein großer Bogen um dieses wichtige Dokument gemacht wird. Erste Hilfestellung leisten auch hier inzwischen Generatoren, Beispiele finden sich in der Infobox.
Besonders wichtig: Gerade dann, wenn Drittanbieter auf einer Website implementiert werden (z.B. Google Analytics, Newsletter und so weiter), muss darauf geachtet werden, dass der gewählte Generator explizit diese Drittanbieter auflistet! Sonst entstehen schnell Lücken mit fehlenden oder unvollständigen Informationen in deinen Datenschutzhinweisen.
Ebenfalls zu beachten: Automatisierte Generatoren können nur abdecken, was die Programmierenden des Generators im Vorfeld bedacht haben. Je nachdem kann das für Standard-Websites, Facebook-Pages & Co. ausreichend sein. Rechtssicherheit gibt es auch hier, wie beim Impressum, nur mit anwaltlicher Unterstützung.
PS: Von dem Versuch, eine Datenschutzerklärung mit ChatGPT zu erstellen, kann ich nur abraten. Was dabei herauskommt, ist, sagen wir mal, dünn (Stand: November 2023 / ChatGPT v4).
Infobox
- Datenschutz-Generator, datenschutz-generator.de
- Datenschutz-Generator, e-recht24.de
- Datenschutz-Generator, activeMind.AG
- Datenschutz-Generator, wbs.legal
Übrigens: Wenn du selbst die „Extra-Meile“ gehen willst, dann lohnt es sich durchaus, deine Datenschutzerklärung über verschiedene Generatoren zu erstellen und anschließend zu vergleichen. Dadurch können nicht nur Unterschiede auffallen, sondern auch eventuell fehlende Punkte.
Newsletter & die DSGVO
Das Vorgehen, um die Basis für datenschutzkonforme Newsletter aufzustellen, lässt sich recht einfach zusammenfassen:
- Auswahl der Software
- Konfiguration der Software (datenschutzrechtliche Aspekte)
- Einholen der Einwilligungen zum Versand des Newsletters
Diese datenschutzrechtlichen Aspekte sollten im Vorfeld beachtet werden – das nachträgliche Wechseln der Software gestaltet sich oft kompliziert und ist auf Grund der an den Zweck gebundenen Einwilligungen auch rechtlich nicht ganz einfach umzusetzen.
Auswahl der Software
Die Auswahl der möglichen Software lässt sich auf Basis der Vorgaben durch die DSGVO einfach treffen.
Zunächst sieht die DSGVO die Übermittlung in Länder außerhalb der EU per se als möglich, aber schwierig an. Warum? Weil außerhalb des Geltungsbereiches der DSGVO nicht ohne weiteres sichergestellt werden kann, dass personenbezogene Daten dort einem ähnlich hohen Schutzniveau unterliegen. Ein passendes Beispiel sind hier die USA. Wer dazu mehr wissen will, sucht im Internet einfach nach „Max Schrems“ und „Privacy Shield“.
Die einfache Antwort lautet also: Suche nach einer Software, dessen Anbieter in der EU seinen Firmensitz hält.
Damit stellst du in weiten Teilen schon die Weichen, um deinen Newsletter DSGVO-konform betreiben zu können, denn die Anbieter unterliegen den gleichen Rechtsgrundlagen wie du. Ein Blick ins Impressum des jeweiligen Anbieters hilft dir dabei weiter oder du wirfst einfach einen Blick in unsere Beispiel-Box (siehe weiter unten rechts).
Vertrag zur Verarbeitung im Auftrag (AV-Vertrag)
Newsletter-Software-Anbieter sind Musterbeispiele für die Datenverarbeitung im Auftrag. Das bedeutet, dass auf jeden Fall ein Vertrag zur Verarbeitung im Auftrag abzuschließen ist. So gut wie alle verantwortungsvoll agierenden Anbieter sind hier bestens gerüstet und stellen einen entsprechenden Vertrag entweder volldigital oder als Download zur Verfügung.
Double-Opt-In
Die Verpflichtung zum Double-Opt-In hat sich inzwischen weitgehend herumgesprochen. Double-Opt-In beschreibt den Prozess, wie die Einwilligung von Newsletter-Abonnent*innen einzuholen ist.
Der Prozess sieht in etwa wie folgt aus:
- Name (optional) + E-Mailadresse eintragen
- Anmelde-Button drücken
- Newsletter-Software speichert jetzt die Daten vorläufig und verschickt folgende Mail:
- E-Mail mit der Nachfrage „Willst du dich wirklich anmelden? Klick hier.“
- Erfolgt der „Klick“ speichert die Software die Anmeldung als vollzogen.
- Kommt keine Bestätigung, dann wird die vorläufige Anmeldung nach einer sinnvollen Zeit X gelöscht.
Auch hier haben sich fast alle Software-Anbieter inzwischen die entsprechenden Mechanismen angeeignet, um dir die Einrichtung des Double-Opt-In-Verfahrens möglichst einfach zu machen. Je nach Anbieter reicht ein Klick auf „Double-Opt-In aktivieren“ oder du musst ein paar zusätzliche Schritte wie etwa das Einrichten der Bestätigungsmail erledigen.
Sonstige Vorgaben
Die restlichen Anforderungen sind schnell aufgelistet:
Infoseite
Um alle Betroffenen ausreichend zu informieren, empfiehlt es sich, eine Infoseite einzurichten, die u.a. über Frequenz, Inhalt, verwendete Software und Themen aufklärt. Die Seite wird dort verlinkt, wo Anmeldeformulare zu finden sind.
Impressum/Datenschutzhinweise
Auch diesen Punkt könnte man unter die Informationspflichten zählen, ich will an dieser Stelle aber explizit noch einmal darauf hinweisen. Sowohl die Seite zu deinem Impressum als auch die zu deinen Datenschutzhinweisen sollten immer auffindbar sein: Links zu Impressum und Datenschutzhinweisen im Fußbereich jeder einzelnen E-Mail, die Datenschutzhinweise zusätzlich auch an der Stelle verlinken, an der du die Einwilligung ermöglichst.
Datensparsamkeit
Damit ist ein weiterer Grundsatz der DSGVO gemeint. Das bedeutet, dass selbstverständlich Vorname, Name, Geburtstag, Wohnort, PLZ und so weiter abgefragt werden können, allerdings sollten diese Felder als optional gekennzeichnet und als verpflichtend nur die E-Mailadresse der Betroffenen abfragt werden. Dadurch kommst du dem Grundsatz nach Datensparsamkeit nach und fragst verpflichtend nur die Daten ab, die auch wirklich notwendig sind.
Zweck kennzeichnen
Das Erheben eines Datums ist immer an einen bestimmten Zweck gebunden. Es macht also absolut Sinn, darauf hinzuweisen, für was genau eine E-Mail-Adresse verwendet werden soll. In diesem Fall: zum Versenden eines Newsletters. Zu beachten ist, dass es Vorgabe ist, dass eine Einwilligung immer je Verarbeitungszweck gegeben wird. Wird eine E-Mailadresse für einen Newsletter erhoben, dann darf sie eben auch nur für diesen Zweck (Newsletter) genutzt werden.
Abmeldung ermöglichen
Der Widerruf muss so einfach sein wie die Einwilligung! Also immer darauf achten, dass die Möglichkeit zur Abmeldung jederzeit sichtbar und auffindbar ist. Etabliert hat sich ein Abmeldelink im Fußbereich jeder verschickten Newsletter-E-Mail.
Datenschutzhinweise
Damit meine ich in diesem Fall nicht (nur) den Link zu den Datenschutzhinweisen, sondern die Erwähnung des Newsletter-Angebotes in den Datenschutzhinweisen. Zu den Hinweisen gehören u.a.:
- grundsätzliche Informationen,
- Hinweis auf den Anbieter der Software,
- Hinweis auf das Vertragsverhältnis (Vertrag zur Verarbeitung im Auftrag),
- Rechtsgrundlage,
- Speicherdauer,
sowie Informationen darüber, ob das Verhalten der Newsletter-Abonnent*innen auch statistisch ausgewertet wird und falls ja, in welchem Umfang.
Beispiele für Newsletter-Software
(Stand: November 2023, nicht abschließend und ohne weitere Beurteilung der datenschutzrechtlichen Aspekte)
- Cleverreach, Rastede, Deutschland
- Mailup, Mailand, Italien
- GetResponse, Danzig, Polen
- Brevo, Berlin, Deutschland
- Mailjet, Paris, Frankreich
Diese Anbieter seien nur exemplarisch genannt. Aufgepasst: Auch in diesem Segment kauft gerne mal ein Hai den Goldfisch auf (zuletzt als aus Sendinblue Brevo wurde), sodass sich die Lokalität des Anbieters auch ändern kann.
Consent Management
Consent Management (oder „Einwilligungsmanagement“) kennt man vor allem von Bannern auf Websites und in Apps, die das Setzen von Häkchen („Erteilen von Einwilligungen“) abfragen.
Das Thema ist durchaus komplex (auch auf die technische Umsetzung hin betrachtet), darum beschränken wir uns auf die Aspekte, denen für Verantwortliche und Betroffene besondere Relevanz zukommt.
Grundsätzlich geht es darum, Einwilligungen (oder umgangssprachlich „Zustimmungen“) für bestimmte Verarbeitungen von personenbezogenen Daten einzuholen – also eine Rechtsgrundlage für diese Verarbeitungen zu schaffen.
Wenn man nicht selbst programmiert, dann ist es wichtig zu wissen, welche Anforderungen an ein rechtlich einwandfreies Consent Management gestellt werden. Nur so kann Fehlern bei der Umsetzung vorgebeugt werden.
Visuelle Gestaltung
Weit verbreitet ist nach wie vor die Darstellung mit einem grünen „Ja“ und einem roten „Nein“ Button (wie genau diese Buttons benannt sind, sei mal dahingestellt). Auch Varianten, bei denen die Ablehnung schlechter lesbar als die Zustimmung ist und Artverwandte davon, sind nach wie vor auch auf Websites großer Anbieter zu finden.
Die Absicht dahinter ist klar: Das Zustimmen (und die damit verbundene Einwilligung in die Datenverarbeitung) soll einfacher sein als das Ablehnen. (Man spricht hier auch vom „Nudging“, also dem subtilen Beeinflussen einer Entscheidung in eine gewünschte Richtung.) Tatsächlich sind sich sowohl DSGVO als auch die laufende Rechtsprechung einig darin, dass das so gestaltete Consent Manager einen Verstoß darstellt. Sowohl Zustimmung als auch Ablehnung müssen gleichberechtigt sein.
Informationspflicht & Verständlichkeit
Vor einigen Jahren noch sehr beliebt und immer noch nicht ganz verschwunden sind Banner mit dem Hinweis „Wir setzen Cookies und verarbeiten Daten – klick hier OK“. Auch das ist datenschutzrechtlich nicht haltbar, denn Einwilligungen müssen informiert durch Betroffene erteilt werden können, die Datenverarbeitungen müssen transparent sein und die Information darüber muss in verständlicher Form erbracht werden.
Über was muss ein Consent Management im Detail informieren? Als Mindeststandard hat sich folgendes Schema etabliert:
Kategorie (siehe Praxistipp) / Name / Kurz: Zweck / Speicherdauer oder Laufzeit / Verlinkung zu den Datenschutzhinweisen (des Drittanbieters)
Für ein Statistikskript, das IP-Adressen speichert, um den Traffic deiner Website zu analysieren, würde das in etwa wie folgt aussehen:
Analyse / Name des Skripts / Analyse des Webtraffics auf Basis IP-Adresse / 365 Tage / www.namedesskripts.org/datenschutz
Im Consent Manager sollte außerdem ein Link auf das Impressum der Website sowie auf die Datenschutzhinweise schnell und einfach anklickbar sein.
Praxistipp
Gerade auf modernen Websites und Shops kommen meistens verschiedene Verarbeitungen zum Einsatz. Strukturierte Consent Manager bieten sich hier an. Eine mögliche Logik in der Darstellung und den darin enthaltenen Einwilligungsmöglichkeiten könnte sein:
[ X ] Funktional | Hierunter fallen Dienste/Skripte und Cookies, die für die Funktion der Website essentiell sind. Das könnte also z.B. ein Cookie sein, dass dein Consent Manager setzt, um daran die (nicht) folgenden Einwilligungen für diesen Websitebesuchenden zu speichern. Damit ist diese Option auch die einzige Option, die standardmäßig aktiv bzw. nicht deaktivierbar sein darf.
[ ] Analyse | Hierunter können Dienste/Skripte und Cookies gruppiert werden, mit denen Verantwortliche z.B. die Besuchendenanzahl oder das Besuchendenverhalten messen, typische Vertreter dieser Art wären Google Analytics oder Hotjar.
[ ] Komfort | Hier können Dienste/Skripte und Cookies gruppiert werden, die den Websitebesuchenden „Komfortfunktionen“ anbieten, z.B. die Darstellung von Anfahrtskarten mit Google Maps oder ein Chatbot.
[ ] Werbung | Hier können Dienste/Skripte und Cookies gruppiert werden, die Werbeeinbindungen von Drittanbietern auf der Website ermöglichen, z.B. Affiliates oder Google AdSense.
Du siehst, dass deine Websitebesuchenden so individuell wählen können, ob sie z.B. in deine Webanalyse als Besuchende mit eingehen möchten oder doch lieber nur Komfortfunktionen aktivieren wollen. In jedem Fall solltest du darauf achten, keine Dienste miteinander zu koppeln. Für die Programmierung bietet es sich oft an, verschiedene Dienste eines Anbieters (z.B. Google Maps, Google AdSense und Google Analytics) in einer Einwilligungsoption zu koppeln. Meiner Meinung nach ist das nicht im Sinne des Erfinders, wenn auch in der Praxis oft zu sehen.
Funktionalität
Nach wie vor finden sich Consent Manager, die wortwörtlich mehr Schein als Sein sind. Da sind zwar Checkboxen und Buttons, aber egal was angehakt, abgelehnt oder bestätigt wird – auf der Website werden trotzdem immer alle Skripte, Tracker und Co. geladen. Eigentlich selbstverständlich, das nicht so zu machen, aber da gerade die technische Implementation ohne Wissen rund um den Code kaum nachvollziehbar ist, will ich auf diesen Punkt explizit hinweisen. Bei Unsicherheiten auf jeden Fall eine zweite (bzw. dritte) Meinung einholen.
Benutzbarkeit ohne Einwilligung
Darüber, ob eine Website „benutzbar“ ist, unabhängig davon, ob Besuchende Einwilligungen erteilt oder abgelehnt haben, kann aus meiner Sicht gestritten werden. Werden so lange keine Skripte geladen, wie keine Einwilligung erteilt wurde und das Resultat ist, dass Teile der Website vom Consent Manager verdeckt werden, das Surfen aber trotzdem möglich ist, wäre das zwar voraussichtlich nicht ganz korrekt, aber wohl noch vertretbar.
Skripte ohne Einilligung
Nach wie vor werden oft Skripte geladen – ohne dass eine Einwilligung erteilt wurde. Obwohl das eigentlich selbstverständlich sein sollte, wenn sich Verantwortliche schon die Mühe machen, ein Consent Management anzubieten (das ja gerade die auf die Einwilligung erfolgende Verarbeitung zulässt), gibt es nach wie vor unzählige Websites, die Tracker und Analyse-Skripte laden, den Consent Manager darstellen und gleichzeitig das Surfen auf der Website ermöglichen. Das Thema ist nah am Punkt „Funktionalität“ dran. Die Idee dahinter ist relativ offensichtlich: Besuchende werden getrackt – und zwar mindestens so lange, bis aktiv abgelehnt wird. Das sind mehr Daten für die Marketingabteilung, als wenn wir zu einer Entscheidung „gezwungen“ werden, stellt aber klar einen Verstoß gegen die Vorgaben der DSGVO dar.
Social Media
Facebook, Instagram, Blue, X, TikTok, Youtube, Mastodon – Social Media Tools sind aus der modernen Marketing-Welt nicht wegzudenken. Damit ergeben sich auch datenschutzrechtlich einige Herausforderungen. Die Diskussion, was Meta (Facebook, Instagram, WhatsApp) & Co. dürfen und was nicht, was diese Plattformen mit den gesammelten Daten anstellen und was das für Verantwortliche bedeutet, würde jeden Rahmen sprengen und wird hitzig geführt. Die wichtigsten Aspekte im Überblick.
Profil ist nicht gleich Page
Verschiedene Plattformen unterscheiden zwischen privaten Profilen und Business-Profilen oder Pages (Seiten). Typisches Beispiel: Facebook. Mit Profilen kann man befreundet sein, bei Pages drückt man „gefällt mir“. Den bindenden Effekt von Profilen kann man nutzen, um alle Freund*innen mit Infos rund um die eigene Dienstleistung zu versorgen. Das hat zwar auch mit Datenschutz zu tun, kann aber vor allem wettbewerbsrechtlich zu unangenehmen Konsequenzen führen.
Der datenschutzrechtliche Aspekt bezieht sich vor allem darauf, dass die meisten Plattformen (wenigstens eingeschränkt) die Möglichkeit bieten, Datenschutzhinweise und ein Impressum zu hinterlegen – aber eben nur bei Business-Profilen. Beides ist für gewerbliche Anbieter verpflichtend. Im unternehmerischen Kontext sollte immer einem Business-Profil der Vorzug gegeben werden.
Auf den Plattformen, auf denen keine entsprechenden Funktionen oder Felder vorgesehen sind, ist Kreativität gefragt. Etabliert sind inzwischen Links in der Biographie – entweder direkt auf das eigene Impressum oder die eigene Datenschutzerklärung oder auf einen sogenannten Linktree (z.B. von wonderlink.de). Mit diesen kleinen Helferlein lässt sich ein Link in der Biographie oder Profilbeschreibung platzieren. Wenn geklickt, kommt der/die Besuchende auf eine Übersicht und kann von dort aus zu Impressum, Datenschutzhinweisen, Shop oder Website springen.
Daten sammeln via Social Media
Social Media soll Sichtbarkeit auf Unternehmen lenken und natürlich auch die Kommunikation mit (potentiellen) Kund*innen und unter Umständen auch zukünftigen Mitarbeitenden ermöglichen. Die datenschutzrechtlichen Aspekte sind auf Grund des Drittlandtransfers undurchsichtig. Klar ist: Keiner der großen Anbieter kommt aus der EU. Klar ist aber auch, dass Social Media Auftritte für viele Unternehmen einen wichtigen Kommunikationskanal darstellen.
Auch die Datenschutzwelt hat sich im Allgemeinen damit abgefunden, dass diese Netzwerke eben existieren. Abseits diverser Anläufe der Aufsichtsbehörden, zumindest Behörden- bzw. Regierungsseiten zur Schließung zu bewegen, ist es hier eher ruhig. Das bedeutet aber nicht, dass man im Kontext von Social Media Auftritten datenschutzrechtliche Vorgaben ignorieren sollte.
Immer dann, wenn Daten gesammelt werden, also z.B. über einen Chat oder über Lead-Formulare, sollte der Kommunikationskanal möglichst schnell auf sichere Beine gestellt werden. E-Mail, ein sicherer Messenger, Telefon oder der persönliche Kontakt sind vorzuziehende Alternativen.
Zusammenfassung
Wenn es um Social Media geht, sind akkurate Einrichtung (Links zu Impressum, Datenschutz & Co.) sowie Wahl des richtigen Profiltyps und gesunder Menschenverstand die richtige Herangehensweise. Klar sein muss, dass in dem Moment, in dem Daten an Social Media Netzwerke übergeben werden, diese den Geltungsbereich der DSGVO verlassen und selbstverständlich ausgewertet werden, um z.B. individuelle Inhalte oder personalisierte Werbung anzuzeigen. Es ist also durchaus angeraten, sich Gedanken zu möglichen Prozessen (z.B. Löschung von Bewerbungsunterlagen) zu machen und Mitarbeitende dahingehend zu schulen.
E-Mailsicherheit & Computersicherheit
Computer, Laptops und Smartphones sind im unternehmerischen Alltag selbstverständlich. Weniger selbstverständlich sind nachhaltige Strategien, diese wichtige Infrastruktur entsprechend zu schützen. Auf was kommt es an?
Firewall & Antiviren-Software
Eine Firewall schützt Geräte vor Zugriffen von außen (also in diesem Fall über das Internet). Wahrscheinlich hast du eine Firewall im Einsatz, ohne dass du dir dessen bewusst bist. Denn moderne Router haben eine Firewall in 99% der Fälle bereits implementiert. Das reicht für den Homeoffice-Anschluss unter Umständen aus, hat in größeren Unternehmensstrukturen aber nichts verloren. Hier sollte sogenannten „Hardware-Firewalls“ der Vorzug gegeben werden. Vereinfacht gesagt: ein eigenes Gerät, das nichts anderes tut, als die aus dem Internet eingehenden und ins Internet ausgehenden Datenströme zu überwachen und im Falle des Falles unliebsame Kommunikationsversuche blockiert. Neben der höheren Leistungsfähigkeit bieten Hardware-Firewalls auch deutlich mehr Konfigurationsmöglichkeiten als die in einem Router implementierte Variante – allerdings auch zu höheren Kosten.
Wenn sich in deinen Büroräumen mehr als eine Handvoll Endgeräte vorfinden, dann solltest du dich auf jeden Fall in dieser Hinsicht von einem IT-Dienstleister beraten lassen. Kleinere Geräte liegen deutlich unter 500€ und können erheblich zur Sicherheit deiner Infrastruktur beitragen.
Antiviren-Software ist auf Endgeräten immer aktiv, kontrolliert E-Mails auf fragwürdige Anhänge, kann schädliche Links im Internet blockieren und schützt aktiv vor Schadsoftware wie Viren, Trojanern und sogenannter Ransomware.
Zu welchem Anbieter du greifst, das bleibt ganz dir überlassen. Im unternehmerischen Alltag würde ich von den kostenlosen Angeboten abraten. Die kostenpflichtigen Ableger bieten (fast immer) erhöhte Erkennungsraten, schnellere/häufigere Updates, wenn neue Bedrohungen bekannt werden und als Bonus komfortable Funktionen wie Passwort-Verwaltung oder die Unterstützung verschiedener Betriebssysteme (iOS, Android, Microsoft, Apple) über eine Softwarelösung hinweg.
Wichtig: Auch mobile Endgeräte wie Tablets und Smartphones, die in deinem Unternehmensalltag eingebunden sind, gehören geschützt!
Faktor Mensch
Neben allgemeinen Sicherheitsmaßnahmen wie der passenden Schutzsoftware dürfte aber ein Punkt am meisten zum Thema E-Mail- und Computersicherheit beitragen: der Faktor Mensch.
Welche Szenarien kannst du dir vorstellen, wenn du an E-Mails und Sicherheit denkst?
- E-Mail mit sensiblen Daten an den/die falsche*n Empfänger*in schicken.
- Den seltsamen Anhang an einer E-Mail mit der Bezeichnung „rechnung.zip“ öffnen.
- Den Link aus der „DHL Zusendung fehlgeschlagen, jetzt Nachnahmegebühr begleichen“ klicken.
- Einem Kronprinzen helfen, dir 1.659.321 Dollar als Erbschaft zu überweisen.
Das sind nur einige Szenarios, die aber eine Gemeinsamkeit haben: Der Faktor Mensch ist der Dreh- und Angelpunkt, der zwischen einem Trojaner, der nebenbei nach dem Klick auf den mysteriösen Link in das Unternehmensnetzwerk geladen wird, und einer sauberen Infrastruktur steht.
Das Stichwort ist hier „sensibilisieren“: Informiere dich selbst (und deine Mitarbeitenden) darüber, wie Schadsoftware funktioniert, wie man falsche Absender erkennt oder wie sich Spam-E-Mails von echter Kommunikation unterscheiden lassen. Gerade (aber nicht nur) in größeren Teamkonstellationen sorgen regelmäßige Schulungen und Auffrischungsworkshops für die nötige Awareness.
Viele Risiken lassen sich hier vermeiden, wenn du (und dein Team) wissen, auf was zu achten ist. Technik schützt hier nur bis zu einem bestimmten Punkt!
WhatsApp & Messenger
Gibt es überhaupt noch Menschen, die WhatsApp nicht installiert haben bzw. nutzen? Datenschutzrechtlich betrachtet, ist WhatsApp schwierig. Einerseits ist unklar, wie WhatsApp Daten nutzt, die bei der Verwendung gesammelt werden, gleichzeitig ist die App kostenlos – das bedeutet, dass der Anbieter mit Daten Geld verdienen muss. Dann sind da noch so ganz einfache Probleme, wie etwa, dass WhatsApp automatisch alle Kontakte, die es auf deinem Telefon findet, abgleicht. Eine Vermischung privater und beruflicher Kontakte ist also quasi vorprogrammiert – auch das: datenschutzrechtlich schwierig.
Wie können mögliche Alternativen aussehen?
Auf WhatsApp verzichten
Das mag den Datenschutz-Hardlinern schmecken, für Unternehmerin und Unternehmer, die auf Digitalisierung und moderne Kommunikationstools setzen, dürfte das schwierig sein. Wie kann also eine sinnvolle Alternative aussehen, die noch dazu die Ansprüche an den Datenschutz erfüllt?
Alternative: Signal
Die Herausgeber der App Signal erklären direkt auf der Startseite: „[…] ein ungewohnter Fokus auf Privatsphäre, zusammen mit all den Funktionen, die du gewohnt bist.“. Zwar sind die Herausgeber ebenfalls in den USA registriert – dennoch steht bei Signal Datenschutz und Privatsphäre im Fokus. Finanziert durch eine Stiftung zeichnet sich der Messenger tatsächlich unter anderem dadurch aus, dass datenschutzrechtliche Themen bei Signal ernst genommen werden.
Weitere Möglichkeiten findest du in der Infobox.
Infobox
- Messenger & DSGVO, chatwerk.de
- Messenger-Dienste und die Schatten-IT, datenschutzexperte.de
- Rundschreiben BfDI zur Nutzung von WhatsApp (im Behördenkontext), bfdi.bund.de
- Alternativer Messenger, Threema
- Alternativer Messenger, teamwire
- Alternativer Messenger, Signal
Google Fonts
Seit den sogenannten Webfonts, zu denen auch das Angebot der Google Fonts zählt, haben die Gestalter von Websites unzählige Schriftarten zur Auswahl, um Corporate Design Vorgaben zu erfüllen oder schlicht ansprechende Websites zu gestalten.
Google Fonts bietet sich stellvertretend für all die Anbieter an, die nach der gleichen Technologie verfahren, z.B. Adobe Typekit.
(Technischer) Hintergrund zu Google Fonts
Moderne Webtechnologien ermöglichen es, verschiedenste Schriften auf Websites darzustellen. Websites werden dadurch ansprechender. Technisch passiert dabei (vereinfacht dargestellt) Folgendes:
- Browser ruft eine Website auf.
- Browser meldet sich beim entsprechenden Server mit seiner IP-Adresse an.
- Der Server antwortet darauf und liefert alle Daten, die zur Website gehören, aus.
In diesen Daten sind unter anderem Querverweise (also ein Link zu einem anderen Server) enthalten, der in diesem Fall die Schriftart, die für die Darstellung dieser Website notwendig ist, schnell und einfach von z.B. einem Google Server auf deinen PC lädt, damit diese dir dann angezeigt wird.
Hier entsteht unsere Datenschutzproblematik. Denn eigentlich wird ja die eingegebene Website besucht und nicht die Server von Google. Gleichzeitig benötigen diese Server deine IP-Adresse, denn nur so können Sie deinem PC die Schrift auch „zusenden“.
Im Hintergrund übermittelt die Website also deine IP-Adresse auch an die Google-Server.
Die Website soll also einerseits hübsch aussehen, andererseits sollen Betroffene über Verarbeitungen personenbezogener Daten informiert werden – und – so notwendig, ihre Einwilligung geben können. Technisch ist es schwierig, eine Website korrekt anzuzeigen, wenn die definierte Schrift nicht korrekt angezeigt werden kann, weil sie ja erst nach unserer Einwilligung geladen werden könnte.
Lösungsansatz
Die Lösung ist eigentlich simpel. Es ist technisch nämlich überhaupt kein Problem, die Schriftart statt von den Google Servern vom jeweiligen Webserver laden zu lassen.
Praxistipp
Ob auf deiner Website Google Fonts eingebunden sind, lässt sich übrigens mit Online-Tools schnell und einfach prüfen. Zu finden z.B. unter https://sicher3.de.